国际商会网络安全企业指南.pdfVIP

栏目责编：古 筝 国际商会网络安全企业指南 作者 : 国际商会 译者：丁浩 [ 摘要 ] 现代信息与通信技术帮助各种企业实现创新、开拓新市场、提高效率，造福客户和社会。为 提供产品和服务，企业需要广泛利用通信环境和网络信息，因此需要适应其直接和间接影响。然而， 许多企业并未充分意识到面临的新风险。本指南旨在解决这种认知差距，并提出企业如何识别和管理 网络安全风险。 [ 关键词 ] 信息与通信技术；网络安全；风险管理；企业 [ 中图分类号 ] D99 [ 文献标识码 ] A [ 文章编号 ] 1009-8054(2017)05-0087-07 绝对的安全。 0 引言 与其他商业挑战不同，网络安全风险管理 现代信息与通讯技术帮助各种企业实现创 并没有简单的解决方法，企业必须始终予以重 新、开拓新市场、提高效率，造福客户和社会。 视。有关主要网络威胁的文献有很多，但是帮 为提供产品和服务，企业需要广泛利用通信环 助企业应对网络安全的合适材料却不多。本指 境和网络信息，因此需要适应其直接和间接影 南将帮助企业管理层与公司信息技术经理互动， 响。然而，许多企业并未充分意识到面临的新 指导制定网络安全风险管理实践。 风险。本指南旨在解决这种认知差距，并提出 提高机构网络安全可以通过风险管理流程 企业如何识别和管理网络安全风险。 来实现，重点应放在管理上。由于技术和威胁 媒体经常报道恶意行为体肆意破坏各类企 在不断发展变化，企业信息系统不可能十全十 业的网络安全事件。由于犯罪分子、黑客、国 美，也不可能做到绝对安全。要做到在不断变 家行为体和竞争者越来越熟练地利用现代信息 化的环境中有效运行，必须坚持长期风险管理。 与通讯技术的弱点，企业面临的风险也不断增 管理者如果没有合理的预期，只会对网络安全 加。1 信息系统与各种外部设备的结合也使得企 的各种措施感到失望。如果没有适当的约束， 业信息系统面临的威胁更加复杂。企业不仅面 企业也会为了降低网络风险很快消耗所有资源。 临外部威胁，还必须应对外部威胁对其信息系 因此，在网络安全管理过程中，企业必须要熟 统带来的风险。从企业的角度看，大小企业都 悉情况，按照轻重缓急处理问题。 应该识别网络安全风险，有效应对信息系统面 必须要明白，没有适当的防范措施，则无 临的威胁。同时，管理层也必须认识到，网络 法保证互联网、企业信息网络和设备的安全。 风险管理只有进行时，没有完成时，也不存在 现代企业信息系统是一系列恶意行为攻击的目 MAY 2017 信息安全与通信保密 87 万方数据 政策评论 POLICY REVIEW 标。安全风险管理者必须记住一条简单的道理， 中提出的网络安全风险管理概念将帮助企业应 “只要将有价值的东西放在网上，就会有风险， 对不断变化的环境中的信息安全挑战。尽管每 就有可能被破坏。”所幸，恶意攻击者视为有 个